211service.com
Det senaste hotet: ett virus gjort just för dig
Datorviruset Flashback blev känt tidigare i år som den första skadliga programvaran som gjorde framsteg mot Apples relativt orörda operativsystem, Mac OS X, som infekterade cirka 600 000 offers maskiner vid toppen av utbrottet.
Men datavetare och säkerhetspersonal var mer oroliga över en annan aspekt av skadlig programvara. Författarna till Flashback använde en teknik som Hollywood ofta använder för att förhindra film- och musikfiler från att kopieras – de lade till funktioner som band viruset till varje infekterat system. Användningen av den tekniken hindrade säkerhetsföretag från att köra viruset i sina labb.
Ny forskning visar att en förfining av tekniken kan göra automatiserad analys av skadlig programvara nästan omöjlig. Paul Royal, en forskare med Georgia Institute of Technologys informationssäkerhetscenter , planerar att avslöja arbetet på Black Hat konferens i Las Vegas den här veckan.
Royal och hans kollegor vid Georgia Tech visar att en form av kopieringsskydd som kallas värdidentitetsbaserad kryptering kan kryptera kritiska delar av ett skadlig program med nycklar baserade på information som hämtats från ett offers system, vilket gör det ännu svårare att analysera provet på en annan maskin.
Att analysera den skadliga programvaran som kriminella använder för att infektera människors datorer är en tidskrävande operation, men ändå nödvändig. Tillverkarna av antivirusprogram samlar regelbundet in prover av skadlig programvara och använder sedan automatisk analys för att generera en samling identifierande egenskaper, vanligtvis kallad en signatur.
Medan en enskild analytiker kan komma runt de begränsningar som upphovsmän till skadlig programvara inför – på samma sätt som filmkopieringsskydd kan kringgås av pirater – kommer att förhindra säkerhetsföretag från att automatiskt bearbeta stora volymer filer skada deras förmåga att hänga med angripare.
För antivirusmodellen komplicerar detta avsevärt att ta brandslangsmängden skadlig programvara och avvänja den till en delmängd som praktiskt kan analyseras av en mänsklig analytiker, säger Royal.
Eftersom antivirusprogram är beroende av att använda sådana signaturer för att fånga upp skadlig programvara, försöker onlinebrottslingar regelbundet göra analysen svårare. Under det senaste decenniet, till exempel, har angripare använt polymorfism – en teknik för att ändra program varje gång de kopieras till en ny maskin – för att göra identifieringen svårare. Denna trend har accelererat de senaste åren (se Antivirustiden är över ).
Databasen över skadlig programvara som underhålls av Symantec inkluderar cirka 19 miljoner underskrifter . I sin årliga Internet Security Threat Report som släpptes tidigare i år uppgav Symantec att dess automatiserade analyssystem analyserade 403 miljoner unika varianter av skadliga program 2011, en ökning med 41 procent från de 286 miljoner som analyserades 2010. Utan automatisering skulle denna uppgift vara mycket hårdare.
Om skadliga killar kan komma till ett stadium där, även om du har [filen], att den är knuten till en viss maskin, då komplicerar det vårt liv, säger Roel Schouwenberg , seniorforskare för Kaspersky , en annan mjukvarusäkerhetsfirma. Kaspersky behandlade mer än en miljard prover genom sina automatiserade system 2011.
Om Flashback är en indikation på framtiden, och automatiseringen inte längre kan tappa anstormningen av filer att analysera, kan antivirusföretag se sina kostnader skjuta i höjden.
Ur vårt perspektiv analyserar vi hundratusentals prover per dag, säger Dean De Beer, teknisk chef för HotGRID , ett tjänsteföretag för analys av skadlig programvara. Nu kastar de den här kurvan, och vi måste luta oss tillbaka och säga, 'Vad behöver vi göra för att säkerställa att vi kan samla in provet?'
Antivirusföretag kan försöka förhindra sådan skadlig programvara genom att skapa en virtuell maskin som verkar identisk med offrets system. Men detta kan ge upphov till integritetsproblem bland användare. För att göra analysen svårare kan författare av skadlig programvara skapa funktioner som tolkar kommandon från kommando-och-kontrollservrarna med hjälp av en nyckel skapad från information om datorns nätverksplats. Känd som instruktionsuppsättningslokalisering, skulle tekniken göra kommandon avsedda för en maskin baserad i San Francisco oigenkännliga för en maskin baserad i Boston.
Antivirusföretag hoppas att Royal håller diskussionen på en hög nivå för att undvika att ge angripare exakta råd om hur de kan förbättra deras förmåga att låsa skadlig programvara till infekterade maskiner. Flashback var jobbigt, säger Schouwenberg. Om snacket handlar om hur man gör det här väldigt enkelt för angriparen, så ser jag inte fram emot det.
Royal hoppas att presentationen fungerar som en varning om att försvarare måste lösa detta problem snabbt. Den här presentationen är inte en anledning att slänga dina analysverktyg för skadlig programvara, säger han. Det ska vara en varning. Vi behöver alla förbereda oss.